Historisch gewachsene Firewall-Regelwerke verraten viel über ein Netzwerk — aber selten steckt ein sauberes Zonenmodell dahinter. In hybriden IT-/OT-Umgebungen reicht reines Löschen nicht aus: Regeln müssen verstanden, priorisiert und gegen reale Kommunikationsanforderungen, DMZ-Übergänge und Betriebsgrenzen zurückgeführt werden.
Ein Firewall-Rule-Cleanup im IT-/OT-Bestand ist kein kosmetisches Projekt. Historische Freigaben, Any-Regeln, Management-Ausnahmen, DMZ-Durchstiche und unklare Objektgruppen sind direkte Hinweise darauf, wo Segmentierung im Alltag erodiert ist. Wer nur löscht, riskiert Störungen. Wer Regeln sauber auf Zonen, legitime Flows und Betriebsverantwortung zurückführt, schafft dagegen dauerhaft wartbare Übergänge.
Der erste Schritt liest den Bestand technisch aus: Interfaces, Zonen, Policies, Objekte und offensichtliche Lücken. Das Ergebnis ist noch kein Zielbild, aber eine belastbare Faktenbasis, die IT, OT und Security auf denselben Stand bringt.
Nicht jede Altlast ist gleich kritisch. In Schritt 2 werden Any-Regeln, breite Management-Freigaben, fehlende Inspection und harte IT-/OT-Ausnahmen nach Risiko und Umsetzbarkeit geordnet. Unten sehen Sie eine Parser-Ausgabe aus einer FortiGate-Beispielkonfiguration.
Cleanup ohne Zielbild endet wieder in Ausnahmen. In Schritt 3 entsteht aus Zonenmodell und Kommunikationsmatrix ein reduziertes Zielregelwerk. Conduits dokumentieren die erlaubten Übergänge zwischen IT, DMZ und OT.
Die Analyse liefert Faktenbasis und Priorisierung. Danach greifen vier Umsetzungsbausteine, die Zielbild, Pilotierung und Betriebsmodell sauber ineinandersetzen.
Aus der Analyse wird ein freigabefähiges Zielbild mit Zonen, Conduits und dokumentierten Soll-Flows für IT, DMZ, Admin und OT.
Statt eines riskanten Big Bang werden Regeln mit hohem Hebel in Pilotpakete geschnürt — mit Wartungsfenstern und Rückfallpfaden.
Historische Ausnahmen, breite Objekte und ungeklärte Freigaben werden nicht blind gelöscht, sondern sauber überführt oder gezielt entfernt.
Logging, Verantwortlichkeiten und wiederkehrende Reviews sorgen dafür, dass das neue Regelwerk nach dem Cleanup nicht sofort wieder erodiert.
Wir zeigen Ihnen, welche Regeln im Bestand kritisch sind, wie daraus ein sauberes Zielregelwerk entsteht und wie sich das Cleanup ohne Blindflug über IT, DMZ und OT priorisieren lässt.
Kontakt aufnehmen Segmentation Toolbox und Matrix ansehen →Nein. In IT- und OT-Netzen sind Regeln oft Stellvertreter für reale Betriebsbedürfnisse, Workarounds oder fehlende Zonen. Ohne Kommunikations- und Zonenkontext kann ein scheinbar unnötiger Eintrag geschäfts- oder produktionskritisch sein.
Das gezeigte Beispiel nutzt die vorhandene FortiGate-Konfigurationsanalyse. Methodisch gilt der Ablauf aber auch für andere Hersteller: Regelbestand verstehen, Zonen ableiten, Kommunikationsbedarf dokumentieren und das Zielregelwerk daraus entwickeln.
Durch Priorisierung und Wellen: kritische Any-Regeln zuerst, flankiert von Logging, Pilotierung, Wartungsfenstern und fachlicher Freigabe durch IT-, OT- und Service-Verantwortliche. Cleanup ist kein einmaliger Sprint, sondern eine gesteuerte Transformation.
Cleanup reduziert und ordnet den Bestand. Redesign definiert das Zielsystem. In Brownfield-Projekten braucht man meistens beides: zuerst die bestehenden Regeln verstehen und entflechten, dann ein Zielregelwerk mit Zonen und Conduits etablieren.
IEC 62443 liefert das Prinzip: Zonen und Conduits statt ungeordneter Seitwärtskommunikation. Die DMZ ist dabei ein zentraler Übergang. Firewall-Regelbereinigung ist der operative Schritt, um diese Architektur im hybriden IT-/OT-Bestand überhaupt durchsetzbar zu machen.
Firewall-Regeln steuern den Verkehr zwischen Zonen. VLANs und Switch-ACLs definieren, welche Geräte überhaupt in einer Zone landen und was auf Layer 2 erlaubt ist. Beides gehört zusammen: Die Firewall-Analyse deckt auf, welche Zonen tatsächlich existieren. Daraus ergibt sich, wo VLANs fehlen, falsch geschnitten sind oder ACLs auf dem Switch nachgezogen werden müssen.
NIS2 Art. 21(2) verlangt dokumentierte Netzsicherheitsmassnahmen und regelmässige Wirksamkeitsprüfungen. Ein Firewall-Regelwerk mit hunderten undokumentierten Altlasten erfüllt beides nicht. Aus dem Zehn-Massnahmen-Katalog (§ 30 Abs. 2 BSIG) betrifft ein Cleanup direkt vier Punkte: Risikoanalyse (Nr. 1), Wirksamkeitsprüfung (Nr. 6), Kryptographie (Nr. 8) und Zugriffskontrolle (Nr. 9). Cleanup liefert die nachvollziehbare Grundlage: dokumentierte Zonen, begründete Regeln und ein Review-Prozess, den ein Auditor prüfen kann.
Durch einen definierten Regel-Lebenszyklus: Jede neue Regel braucht einen Antragspfad, einen verantwortlichen Owner, eine dokumentierte Begründung und ein Ablaufdatum oder einen Review-Termin. Regelmässige Audits prüfen, ob Regeln noch einem aktiven Kommunikationsbedarf entsprechen. Gerade bei Ausnahmen kann nicht allein das Netzwerk- oder Security-Team entscheiden, ob eine Regel noch gebraucht wird, weil dafür Prozesskenntnisse aus dem Betrieb nötig sind. Ohne Owner und Prozess wächst jedes Regelwerk innerhalb weniger Jahre wieder auf denselben Stand zurück.
